A LGPD, Lei Geral de Proteção de Dados, é uma lei que busca regulamentar o tratamento de dados pessoais no Brasil. Sua maior preocupação é garantir maior segurança para consumidores e empresas em relação ao uso de dados. Para isso, ela prevê a responsabilidade compartilhada entre todos os envolvidos na relação de troca de informações.
Uma grande dificuldade das empresas para atender às regras estabelecidas pela Lei Geral da Proteção de Dados, é compreender o que pode, o que não pode e o que deve ser feito para que sua operação esteja de acordo com a regulamentação.
Afinal, a existência da norma não visa inibir o tratamento de dados, mas sim evitar que pessoas físicas e jurídicas façam “mau uso” das informações – e isso se aplica para pessoas e empresas, do setor público ou privado.
Diferença entre dados pessoais e dados sensíveis segundo a lei
De forma simplificada: conforme o artigo 5º da LGPD, dado pessoal é “qualquer informação relacionada a pessoa natural identificada ou que seja identificável”. Ou seja: qualquer informação que viabilize a identificação de uma pessoa é considerada um dado pessoal, seja isolada ou em conjunto com outras informações.
Dados não sensíveis (públicos):
Os dados ‘não sensíveis’ são as informações individuais de cada pessoa, como RG, CPF, endereço, nome completo, telefone, entre outros. Segundo as definições da legislação brasileira, essas informações são públicas, ou seja, de domínio público.
A LGPD, por sua vez, define situações em que essas informações podem ser tratadas pelas empresas. Abaixo explicamos mais sobre as 10 hipóteses em que as empresas podem utilizar dados pessoais.
Dados pessoais sensíveis:
Dados sensíveis são aqueles relacionados a características físicas ou comportamentais, ou seja, às escolhas ou à biologia de uma pessoa, como: convicção religiosa, origem racial ou étnica, opinião política, dados referentes à saúde ou à vida sexual, entre outros. Essas informações são consideradas sensíveis pois podem causar exposição de uma pessoa.
Dado anonimizado:
Os dados anonimizados são informações que não identificam uma pessoa de forma individualizada.
A Lei Geral da Proteção de Dados traz a visão de que não é necessário saber o nome ou o número do documento para individualizar uma pessoa e identificá-la; e um ponto importante para compreendermos é que os dados não são “estáticos”.
Vamos pensar sobre o significado de pessoa identificável. Uma pessoa pode não ser identificada a partir de um dado isolado, mas, se juntarmos outras informações e conseguirmos identificá-la, então o tratamento deve estar de acordo com os critérios da lei.
Dados pessoais de crianças e adolescentes:
Para tratamento de dados de crianças e adolescentes, existe uma única regulamentação, independente do tipo de dado (se é sensível ou não). A lei determina que é obrigatório ter consentimento de um dos pais antes da coleta das informações.
Exceções: só são exceções de consentimento dos pais os casos em que a coleta é necessária para contatar os pais ou responsável legal (sendo que o dado só pode ser utilizado para esta finalidade e não pode ser armazenado), ou para proteção da criança.
Além disso, segundo a lei, o controlador (quem utilizará o dado) deverá “manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei”.
O que é “tratamento de dados” para a LGPD?
Entendido o que são dados pessoais sensíveis e não sensíveis, vamos analisar a definição de tratamento de dados.
Segundo o especialista e advogado Leandro Miranda em sua palestra no Assertiva Day 2019, haviam muitas discussões no Congresso sobre o que é exatamente o tratamento de dados:
“Uma pessoa falava: tratamento de dados é quando você transforma um dado em outro. Outra pessoa dizia: isso é comutação de dados, porque o dado mudou. Outro falava: armazenamento não é, eu só estou guardando; transferência não é porque eu só estou passando de um lugar para o outro. E o que eles decidiram? Tudo isso aqui se tornou tratamento de dados.”
Sendo assim, segundo a LGPD, o tratamento é definido como qualquer coisa que possa ser feita com uma informação.
Isso engloba coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, controle da informação, modificação, comunicação, transferência, difusão e extração.
Apenas a visualização de uma informação já é equivalente a um tratamento. E qualquer outra ação que possa ser tomada em relação aos dados pessoais também é considerada tratamento de dados.
GDPR e LGPD: proteção de dados no Brasil e no mundo
A GDPR – General Data Protection Regulation é a norma que regulamenta o uso de dados nos países da União Europeia. O regulamento foi publicado em 2016 e entrou em vigor em maio de 2018.
Uma questão importante sobre a GDPR é que ela se aplica a qualquer empresa, de qualquer lugar do mundo, que processe dados de cidadãos da União Europeia. Ou seja: as empresas brasileiras que têm atuação no exterior devem se preparar para atender às regras tanto na regulamentação europeia como na brasileira.
A LGPD foi criada baseando-se na GDPR, tendo os mesmos princípios para sua construção. E um dos pontos em comum é que a lei brasileira também tem aplicação fora do território nacional, o que significa que empresas com sedes estrangeiras devem obedecer às regras da LGPD sempre que os dados pessoais forem tratados no Brasil.
Outro ponto em comum entre as duas regulamentações é que ambas têm objetivo de deixar as pessoas no comando dos próprios dados. A proposta das duas leis é garantir que o consumidor controle e tenha conhecimento sobre a finalidade do uso de seus dados por pessoas e empresas, independente do meio de coleta (físico ou digital).
Personagens envolvidos e suas responsabilidades
A lei estabelece 4 atores, com diferentes responsabilidades, que estão envolvidos no tratamento de dados. Veja abaixo os papeis do titular, do controlador, do operador e do encarregado.
Titular:
Segundo a LGPD, é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. De forma simplificada, o titular é o proprietário dos dados.
Controlador:
A lei define que o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Na Europa, ele é chamado de Responsável, pois é realmente o responsável pela coleta e tratamento.
Antes da regulamentação, os controladores eram quase “donos” dos dados, pois uma vez que as informações eram coletadas e armazenadas, essas pessoas e empresas que realizaram a coleta tinham total domínio dos dados. Agora essas personalidades assumem papel de controladores, pois têm apenas o controle da informação.
O papel de controlador deixa claro que, caso ele não siga as regras estabelecidas pela LGPD, ele poderá perder o direito de tratar esses dados; e o mesmo acontece no caso do titular retirar o consentimento dado anteriormente.
Operador:
Essa é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Isso quer dizer que essa pessoa ou empresa não coletará os dados, ela apenas vai agir em nome do controlador.
Um caso comum em que vemos o operador em ação é quando uma empresa contrata os serviços de outra empresa para cuidar de sua folha de pagamentos. A terceirizada (operador) terá acesso aos dados e fará a utilização desses dados, porém em nome de quem a contratou (controlador).
Encarregado:
Segundo a LGPD, o encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Na Europa (onde vigora a GDPR), o encarregado é chamado de DPO – Data Protection Officer, ou Delegado de Proteção de Dados, em português.
Segundo o advogado Leandro Miranda, em sua palestra para o Assertiva Day deste ano, “essa é uma figura nova que está surgindo no mercado e que as empresas que trabalham com dados vão ter que ter. E não é uma pessoa só, é uma equipe inteira. É uma equipe multidisciplinar. Ele (o encarregado) vai ser o responsável por ser a ponte entre a empresa, o governo, a agência reguladora e os titulares dos dados. Ele é o fiscalizador da empresa e vai analisar os departamentos e verificar se todos estão seguindo as diretrizes legais”.
Em linhas gerais, o encarregado será o responsável por certificar-se de que toda a operação da empresa está respeitando as normas estabelecidas pela Lei Geral da Proteção de Dados.
Conheça as 10 situações em que as empresas podem tratar dados pessoais
- Consentimento: autorização para tratamento dos dados. Para obter o consentimento, o controlador deverá ter um termo de aceite assinado pelo titular dos dados. É importante destacar que o titular pode, a qualquer momento, retirar o consentimento.
- Obrigação legal regulatória: acontece quando a lei obriga as empresas a tratarem dados pessoais, como é o caso em que os hospitais devem informar ao Ministério da Saúde que alguém contraiu uma doença infectocontagiosa, por exemplo.
- Execução de Políticas Públicas: essa situação é voltada ao governo e às políticas públicas. A partir de informações como faixa etária e dados de saúde, por exemplo, é possível definir onde construir escolas, para onde direcionar vacinas, entre outras ações.
- Realização de estudos por órgão de pesquisa: são os casos de estudos que visam melhorar a sociedade, como estudos sobre câncer ou glaucoma, por exemplo. Segundo a LGPD, neste caso deve ser “garantida, sempre que possível, a anonimização dos dados pessoais”. Ou seja, a instituição pega os dados necessários para o estudo e dispensa informações desnecessárias, como o nome da pessoa, por exemplo.
- Execução de contratos: muitas contratações de serviços precisam de dados para atender ao consumidor, seja para fazer uma instalação ou para enviar cobranças, como é o caso de empresas de água, luz, plano de saúde, entre outras. Por isso, o tratamento de dados é permitido em casos em que é necessário para a execução do contrato ou de procedimentos relacionados a ele (quando for solicitado pelo titular dos dados).
- Exercício regular de direito: o código civil determina que alguns tipos de danos têm prazo de prescrição de 5 anos. Por isso, para exercer este direito, após o término de um contrato jurídico, as informações podem ser mantidas por mais 5 anos – caso a empresa sofra um processo, ela pode utilizar esses dados para se defender. Segundo a lei, são casos de “processo judicial, administrativo ou arbitral”.
- Proteção à vida: como o nome sugere, é permitido utilizar dados pessoais – como tipo sanguíneo, por exemplo – com a finalidade de salvar a vida de uma pessoa em situação emergencial.
- Tutela da saúde: está relacionada à proteção à vida, porém de forma coletiva, como nos casos em que o governo realiza o controle de pandemias e epidemias.
- Interesses legítimos: devem estar diretamente ligados à atividade da empresa e sua cadeia de produção. Neste caso, o tratamento de dados deve ser legítimo e deve sempre respeitar os direitos e liberdades individuais dos titulares. *Abaixo, nesta matéria, falamos mais sobre o legítimo interesse.
- Proteção ao crédito: visando fomentar a atividade econômica da sociedade, a LGPD permite o tratamento de dados com o objetivo de proteção ao crédito nas relações entre empresas e clientes.
Descomplicando a LGPD e o legítimo interesse
Uma das bases legais mais comentadas (e que gera mais dúvidas) é o legítimo interesse. Mas o que é isso? Como descobrir se meu tratamento de dados representa um interesse legal do meu negócio?
Segundo Leandro Miranda, a LGPD “procura manter o equilíbrio entre a proteção dos direitos e liberdades individuais das pessoas e a proteção da inovação”, e aí vem o legítimo interesse. Por isso, neste caso, além de atender aos objetivos da empresa, o tratamento de dados também deve respeitar os direitos e liberdades do titular.
O art. 10 da Lei Geral da Proteção de Dados diz que o legítimo interesse só poderá se fundamentar em casos de finalidades legítimas (ou seja, ações lícitas) e em situações concretas, o que significa que o tratamento deve ser realizado apenas para situações em que os dados estejam efetivamente sendo utilizados.
Isso quer dizer que, para qualificar como interesse legítimo, essa situação deve ser concreta no seu negócio, na sua atividade, e deve acontecer o tempo todo. Não é permitido armazenar o dado para possíveis e/ou futuras necessidades.
O artigo também diz que essas finalidades legítimas e concretas devem incluir:
“I – apoio e promoção de atividades do controlador”: significa que o tratamento de dados deve ser relacionado à atividade da empresa e aos seus objetivos. Por exemplo: uma empresa de marketing vai armazenar dados dos consumidores exclusivamente para realizar atividades de marketing.
“II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei”: situação que beneficie o titular dos dados e que atenda às suas legítimas expectativas. Em alguns casos, isso envolve a sociedade como um todo, e não apenas um indivíduo.
Outros pontos importantes sobre o legítimo interesse:
- Só podem ser tratados os dados estritamente necessários para a finalidade da empresa. Por exemplo: se a sua operação precisa apenas de nome e telefone, você não pode armazenar informações como endereço ou CPF, por exemplo.
- A empresa deve estar preparada para entrega de relatório de impacto à proteção de dados pessoais, que pode ser solicitada pela autoridade nacional.
- O controlador deve garantir a segurança dos dados.
Conheça os 10 princípios da Lei Geral da Proteção de Dados
Conheça os 10 princípios que guiam a Lei Geral da Proteção de Dados e entenda um pouco mais sobre cada um deles:
I – Finalidade:
Este é o principal princípio da lei e visa garantir que os dados sejam utilizados para o mesmo objetivo pelo qual foram coletados. Para mudar o objetivo do tratamento de dados, é necessário ter uma nova autorização do titular ou uma base legal que autorize a troca de finalidade.
Um caso que explica bem a finalidade é o da Cambridge Analytica. Ao contrário do que muitos pensam, o problema do caso não foi o tratamento de dados por si só, mas sim a finalidade do uso deles. Os dados foram coletados para um objetivo e utilizados para outro (que foi de influenciar as eleições nos EUA). A ilegalidade, neste caso, estava no desvio de finalidade do tratamento de dados e não na coleta.
II – Adequação:
A adequação é relacionada a um dos pontos que destacamos na base legal do legítimo interesse – os dados coletados devem estar em conformidade com a finalidade do uso.
III – Necessidade:
Os dados utilizados precisam ser importantes para a operação da empresa e o tratamento deve se limitar ao cumprimento dessa(s) finalidade(s). É importante questionar se as informações utilizadas são necessárias para a execução do objetivo de tratamento, bem como dispensar os dados desnecessários.
IV – Livre acesso:
Garante ao titular dos dados o acesso aos arquivos da empresa. Isso quer dizer que os titulares poderão perguntar pra empresa que trata seus dados qual é a finalidade do tratamento, com quem ela compartilhou o dado (se compartilhou) e por que, e as empresas serão obrigadas a esclarecerem essas informações.
V – Qualidade dos dados:
As informações devem estar sempre atualizadas, não podem estar corrompidas e não podem estar incompletas. E, claro, a atualização dos dados deve estar de acordo com o cumprimento da finalidade de seu tratamento.
VI – Transparência:
Os titulares têm o direito de saber que a empresa realiza o tratamento de seus dados, bem como de obter informações claras, precisas e facilmente acessíveis a respeito.
VII – Segurança:
As empresas devem tomar medidas técnicas e administrativas a fim de proteger os dados de invasões, roubos, acessos sem autorização, perda, entre outros. É o caso do Security By Design.
VIII – Prevenção:
É necessário tomar medidas que visem prevenir danos que possam derivar do tratamento de dados. Para isso, é preciso sempre atualizar políticas de segurança e de acesso, por exemplo.
IX – Não discriminação:
Não é permitido tratar dados para fins discriminatórios. Para tratamento de dados sensíveis, por exemplo, é permitido utilizar, mas a empresa deve provar que não está fazendo discriminação.
X – Responsabilização e prestação de contas:
A empresa tem a responsabilidade de prestação de contas com os titulares e de fornecimento de relatórios à autoridade reguladora. Isso pode ser fiscalizado por quatro entidades: os titulares, a autoridade reguladora, o Ministério Público e os Órgãos de Proteção ao Consumidor.
Como a nova lei afeta pessoas e empresas no Brasil
Um erro comum no início da GDPR (a “LGPD europeia”), e que rendeu muitas punições no início de sua aplicação, foi que as pessoas e empresas não souberam olhar para toda a operação antes de se enquadrar à regulamentação.
O advogado Leandro Miranda destacou esse ponto de vista de uma forma simples e objetiva: “A primeira coisa a se pensar é que todas as empresas, de todos os ramos, de todos os segmentos vão ser afetadas. Porque toda empresa, querendo ou não, trata dados pessoais. Toda empresa tem funcionários, e os dados pessoais dos próprios funcionários são dados protegidos pela lei”.
E quando falamos de todas as pessoas e empresas, são todas mesmo: o estacionamento que pede os dados dos consumidores; a costureira que anota informações sobre medidas e encomendas dos clientes; a pessoa que revende Avon e precisa dos dados dos compradores para fazer pedidos e entregas e por aí vai.
É claro que as empresas são diferentes no que se refere a volume e uso de dados, mas é preciso ter em mente que a lei se aplica a qualquer tipo de armazenamento (seja físico ou tecnológico) e a todo tipo de relação comercial; ou seja, qualquer pessoa física ou jurídica que obtenha lucro e utilize dados que identifiquem ou permitam identificar alguém.
Muito além das relações de consumo
Muitas pessoas físicas já estão sabendo da nova lei que veio regulamentar o tratamento de dados no Brasil. Mas o que nós, titulares, temos a ver com isso?
A verdade é que quando pensamos em LGPD, a primeira coisa que vem à mente é a relação de consumo. E ao focar em processos de compra e venda é comum se esquecer da relação ao se associar a um clube, se afiliar a um partido político, ir a uma igreja, entre outras situações. Por isso, é importante pensar que os dados pessoais se aplicam a todos os âmbitos das nossas vidas.
Lembrando que os direitos dos titulares em relação aos seus dados são: confirmação, acesso, correção, anonimização, portabilidade, eliminação, compartilhamento, negativa de consentimento e revogação de consentimento.
Proteção de Dados vs Proteção da Privacidade
Ao contrário do que muitos pensam, proteção de dados e proteção de privacidade não significam a mesma coisa. Afinal, ter conhecimento de dados como o nome da pessoa, por exemplo, não fere sua privacidade.
Outro ponto importante é que cada um tem uma visão diferente do que significa privacidade. Por isso, para analisar e entender a LGPD, é preciso separar esses dois conceitos e concentrar a adequação na proteção de dados.
Como e quando as empresas podem se preparar para a LGPD?
A ANPD – Autoridade Nacional da Proteção de Dados será responsável pela fiscalização do cumprimento ou não da Lei Geral de Proteção de Dados.
Assim que a lei entrar em vigor, as empresas que não estiverem de acordo com as normas serão punidas de acordo com os critérios estabelecidos.
Para garantir que toda a operação da empresa esteja de acordo com a regulamentação, é necessário fazer uma análise da relação que a organização tem com todos os públicos que atinge, listando os pontos de contato que envolvem dados pessoais. Isso engloba desde funcionários e fornecedores até parceiros e clientes.
Em entrevista com a nossa equipe, Leandro Miranda pontuou algo muito interessante: a nova lei pode gerar aumento nos custos das empresas, mas ela também trará maior segurança jurídica.
É importante analisar como é feita a coleta de dados, onde eles ficam armazenados, quem tem acesso a essas informações, qual a finalidade do tratamento, entre outros cenários.
Para lidar com as situações envoltas da Lei Geral da Proteção de Dados é indicado um parceiro especializado para auxiliar no período de transição.
8 boas práticas para empresas segundo a LGPD
Em sua palestra para o Assertiva Day de 2019, o advogado Leandro Miranda compartilhou 8 boas práticas para as empresas se adequarem à lei.
- 1ª boa prática: identificar a base legal jurídica do tratamento de dados pessoais, deixando o legítimo interesse como penúltima opção e o consentimento como última possibilidade.
- 2ª boa prática: regularizar o tratamento que não dispõe de base legal. Se o dado não tem uma base legal, separe, segregue e depois veja o que fazer com ele.
- 3ª boa prática: quando possível, anonimizar os dados.
- 4ª boa prática: mapear terceiros com quem você compartilha dados pessoais e realizar adequações contratuais. Mapeie fornecedores e acompanhe a entrada e saída de dados.
- 5ª boa prática: modificar termos de uso e políticas de privacidade. Crie mecanismos para modificar a política de uso de privacidade, revise sua política de privacidade e de uso de dados.
- 6ª boa prática: se preparar para atender os direitos do titular dos dados. Todas as empresas vão precisar atender os titulares e terão que se preparar pra ter esse viés de mão dupla.
- 7ª boa prática: se preparar para eliminar dados pessoais sem prejudicar o modelo de negócio. Não precisa de dados? Não mantenha dados que vão trazer riscos para a sua empresa. Se for necessário, elimine.
- 8ª boa prática: aplicar regras específicas para dados pessoais de menores.
Assertiva e a Lei Geral da Proteção de Dados
Antes da LGPD já existiam leis que regulamentavam o processamento de dados pessoais. Porém, elas conflitavam entre si, o que gerava muitas lacunas e dificultava os processos jurídicos.
A chegada da nova lei eliminou esses problemas, além de atualizar as regras para as mais diversas situações que vivenciamos nas relações comerciais hoje em dia – incluindo as multiplataformas de atuação das empresas.
A Assertiva tem uma preocupação com todos os públicos que atinge, e por isso todos os nossos processos estão sendo atualizados a fim de garantir o cumprimento da nova regulamentação e garantir que todas as pessoas e empresas envolvidas com o nosso negócio estejam de acordo com a norma.
Dessa forma, conseguiremos assegurar não só os melhores serviços, como também a máxima segurança para nossos clientes e parceiros!